Autor: Stefan David, MathWorks<\/p>\n
Im Zeitalter der Vernetzung und der Autonomie von Maschinen (Cyber-Physical Systems) sind einige Anstrengungen n\u00f6tig, um sicherzustellen, dass das Risiko von Cyber-Security Attacken nicht zu gef\u00e4hrlichen Situationen f\u00fchrt, weil Hacker sich Zugruff auf sicherheitsrelevante Funktionen verschaffen k\u00f6nnen. Beim System- und Komponenten-Design und der Implementierung m\u00fcssen dabei oft Kompromisse eingegangen und Entscheidungen getroffen werden, da die Anforderungen in Bezug auf Funktionalit\u00e4t, Performanz sowie Safety und Security teilweise kontradiktorisch zueinander sind, speziell wenn es um die Erf\u00fcllung von Standards geht. Wir stellen Beispiele und Methoden vor, wie mithilfe von Model-Based-Design, -Verifikation und statischer Code-Analyse Sicherheitsl\u00fccken identifiziert, Applikationen abgesichert, Standard-konform entwickelt und trotzdem performant und schnell implementiert werden k\u00f6nnen.<\/strong><\/p>\n Das Thema Security und Cyber-Security ger\u00e4t zunehmend in den Vordergrund der Software-Entwicklungsprozesse. J\u00fcngste Sch\u00e4tzungen gehen von Milliarden vernetzten Ger\u00e4ten im Jahre 2019 aus [1] [2].<\/p>\n Das U.S. Department of Homeland Security (DHS) hat durch das „Industrial Control Systems (ICS) Cyber Emergency Response Team“ (ICS-CERT) ermittelt, dass der h\u00f6chste Prozentsatz von bekannten Schwachstellen bzw. Sicherheitsl\u00fccken in ICS-Software durch fehlende oder mangelhafte \u00dcberpr\u00fcfung von Eingaben verursacht werden (Abb.1 [3], siehe\u00a0PDF<\/a>).<\/p>\n Oftmals scheitert die Absicherung durch robuste Sicherheitsma\u00dfnahmen an den begrenzten physikalischen Ressourcen der eingebetteten Systeme, insbesondere bei der Verwendung von kleinen, kosteng\u00fcnstigen Komponenten. Ist so ein System erst einmal infiziert, ist es schwer, dies zu erkennen, um die Software zu aktualisieren. Hinzu kommt, dass in der Praxis h\u00e4ufig erst an die Sicherheit gedacht wird, wenn die Ger\u00e4te schon fertig entworfen und m\u00f6glicherweise bereits im Einsatz sind.<\/p>\n Aufgrund der hohen Gefahr durch Angriffe entstehen zunehmend Regularien und Standards zum Thema Cyber-Security. Standards wie CERT C, ISO-TS 17961, der CWE und MISRA C:2012 Amendment 1 befassen sich mit dem Thema Security von Software. Beim System- und Komponentendesign und der Implementierung m\u00fcssen dadurch oft Kompromisse gemacht werden, da die Anforderungen in Bezug auf Funktionalit\u00e4t, Performanz sowie Safety und Security teilweise konkurrierend zueinander sind, speziell wenn es um die Erf\u00fcllung von Standards geht.<\/p>\n Model-based Design hat sich als eine effektive Methodik bew\u00e4hrt, Fehler und Schwachtstellen w\u00e4hrend fr\u00fchen Entwicklungsphasen kosteneffizienter zu entdecken und zu bereinigen als in den sp\u00e4teren Phasen der Entwicklung [4]. Der Aufbau eines Modells entspricht im Allgemeinen der Applikation eines Embedded-Software-Systems, welches in vielen F\u00e4llen \u00fcber Schnittstellen mit externen Komponenten verbunden ist (Abb. 2, siehe\u00a0PDF<\/a>). Diese Schnittstellen k\u00f6nnen Unbefugten Zugriff auf sensible Bereiche Ihrer Applikation verschaffen.<\/p>\n Ein strukturiertes Vorgehen, um die Ursache und Fortpflanzung von Angriffen zu erkennen, ist dabei der Schl\u00fcssel zum Erfolg. In Abb. 3 (siehe\u00a0PDF<\/a>) sehen wir Analyseverfahren, die \u00fcber verschiedene Ebenen durchgef\u00fchrt werden, z.B.\u00a0Assets and Attack Potentials<\/strong>\u00a0und\u00a0Threat and Risk Assessment<\/strong>. Auf das Modell – bestehend aus den Bl\u00f6cken Sensors, Control und Actuators – werden dabei gezielt Angriffsszenarien auf Eing\u00e4nge induziert, um herauszufinden, welche Kan\u00e4le anf\u00e4llig sind.<\/p>\n Im Modell angewendete Angriffsmethoden sind:<\/p>\n In Kombination mit formalen Analyse-Methoden erlaubt es\u00a0Threat Modeling,<\/strong>\u00a0m\u00f6gliche Angriffspfade als Szenarien darzustellen und Schwachstellen durch m\u00f6gliche Attacken zu identifizieren, zu priorisieren und entsprechend zu schlie\u00dfen. Zum Beispiel verwendet der Simulink Design Verifier [5] formale Methoden, um Schwachstellen in Simulink-Modellen automatisiert ohne umfangreiche Simulationsl\u00e4ufe zu identifizieren. Durch Property Proving l\u00e4sst sich beweisen, ob das Design wie in den Anforderungen beschrieben unter Ber\u00fccksichtigung des Angriffsszenarios funktioniert. Sollte dieser Beweis nicht erbracht werden k\u00f6nnen, wird ein Gegenbeispiel ermittelt, das als Testfall auf das Modell ausgef\u00fchrt werden kann, um das fehlerhafte Verhalten sichtbar zu machen bzw. um die Sicherheitsalgorithmen, die die Angriffe abwehren soll, zu validieren (Abb. 4, siehe\u00a0PDF<\/a>).<\/p>\n F\u00fcr das Threat Modeling k\u00f6nnen z.B. folgende Angriffsmodelle angewendet werden:<\/p>\n Fuzzing<\/strong>\u00a0(Abb. 5, siehe\u00a0PDF<\/a>) ist eine Test-Methodik, mit der ein Applikationsmodell mit g\u00fcltigen und ung\u00fcltigen Eingaben bzw. „Fault Injections“ bedient wird. Diese sollen bestimmte Attacken an den Schnittstellen simulieren. Untersucht wird das System nun auf bestimmte Verletzungen, z.B. gegen funktionale oder Performance-Anforderungen.<\/p>\n Durch die Integration einzelner Software-Komponenten zu einem Gesamtsystem auf Code-Ebene, das z.B. multitaskingf\u00e4hig und durch Interrupts unterbrechbar ist, k\u00f6nnen zus\u00e4tzliche Schwachstellen entstehen, die Attacken zulassen und eine Analyse auf Code-Ebene erfordern.<\/p>\n Ein Ansatz, um den Stand der Technik einzuhalten, ist die Anwendung von Security Guidelines, um Schwachstellen zu erkennen und zu vermeiden. Abb. 7 (siehe\u00a0PDF<\/a>) zeigt einen \u00dcberblick verbreiteter Coding-Standards mit deren Klassifizierung ob der Standard Security oder Safety adressiert, basierend auf „The CERT C Coding Standard“ [8], wobei MISRA C:2012 durch das Amendment 1 mittlerweile ebenso Security adressiert.<\/p>\n Ein effektiver und kosteng\u00fcnstiger Ansatz zur Pr\u00fcfung ist statische Code-Analyse. Diese hilft, …<\/p>\n Ein Beispiel f\u00fcr m\u00f6gliche Schwachstellen sind Daten, die in einer Funktion verwendet, jedoch von einer \u00e4u\u00dferen Quelle an diese Funktion \u00fcbergeben werden (Tainted Data<\/strong>), z.B. die Gr\u00f6\u00dfe eines \u00fcbergebenen Arrays. Durch gezielte Manipulation dieses Wertes kann damit ein Zugriff au\u00dferhalb der g\u00fcltigen Arraygrenzen und somit auf einen beliebigen Speicherbereich stattfinden. Tainted Data sind ein beliebtes Ziel von Angriffen. Ein solcher Array-Zugriff kann sowohl ein Safety- als auch ein Security-Problem darstellen. Ein Beispiel f\u00fcr die Identifikation von Tainted Data Schwachstellen mittels statischer Code-Analyse zeigt Abb. 8 (siehe\u00a0PDF<\/a>).<\/p>\n Ist die Schwachstelle identifiziert, kann diese im Design oder im Code z.B. durch eine gezielte \u00dcberpr\u00fcfung der Schnittstelle auf G\u00fcltigkeit der \u00dcbergabeparameter zur Laufzeit behoben und die Robustheit der Applikation erh\u00f6ht werden.<\/p>\n Statische Analysetools, die zus\u00e4tzlich \u00fcber formale Kontroll- und Datenflussanalyse-Methoden verf\u00fcgen, wie z.B. Polyspace Code Prover [9], sind dar\u00fcber hinaus in der Lage, die Abwesenheit bestimmter Fehler bzw. Schwachstellen zu beweisen, was den Aufwand f\u00fcr Tests, Reviews und den Nachweis der Compliance zu Standards (Abb. 9, siehe\u00a0PDF<\/a>) erheblich reduziert. Des Weiteren lassen sich dadurch auch die Code-Performance erh\u00f6hen sowie der Speicherbedarf reduzieren, da Laufzeitchecks viel zielgerichteter eingesetzt bzw. vermieden werden k\u00f6nnen [10].<\/p>\n Beim Design und bei der Implementierung von vernetzten Software-Systemen m\u00fcssen oft Kompromisse eingegangen werden, speziell wenn es um die Erf\u00fcllung von Standards und Coding-Guidelines geht. Daraus ergibt sich, dass es enorm wichtig ist, Schwachstellen und Defekte fr\u00fchzeitig und am Besten w\u00e4hrend des Designs und der Implementierungsphase zu erkennen und zu bereinigen. Wir haben beispielhaft Modell- und Code-basierte Methoden gezeigt, mit denen Angriffe fr\u00fchzeitig simuliert und die Robustheit kosteng\u00fcnstig erh\u00f6ht werden k\u00f6nnen. Gerade formale Methoden lassen sich mittlerweile einfach einsetzen, um die Code-Performance zu erh\u00f6hen sowie Speicherbedarf zu reduzieren. Die Modell-basierte Entwicklung erm\u00f6glicht zudem eine deutlich schnellere Reaktion auf ge\u00e4nderte Standards und identifizierte Schwachstellen als traditionell entwickelte Systeme.<\/p>\n [1] J. Greenough, „The Internet of Things\u2019 will be the world\u2019s most massive device market and save companies billions of dollars“, Feb 2015 [2] U.G.C.S: Adviser, „The Internet of Things: Making the most of the Second Digital Evolution“ [3]\u00a0https:\/\/ics-cert.us-cert.gov\/sites\/default\/files\/recommended_practices\/DHS_Common_Cybersecurity_Vulnerabilities_ICS_2010.pdf<\/a><\/p>\n [4] A. Wasicek, P. Derler, and E. A. Lee. Aspect-oriented modeling of attacks in automotive cyberphysical systems. In Design Automation Conference (DAC), 2014 51st pages 1-6. IEEE, 2014.<\/p>\n [5]\u00a0https:\/\/de.mathworks.com\/products\/sldesignverifier\/<\/a><\/p>\n [6] G. Tassey. The economic impacts of inadequate infrastructure for software testing. RTI Project Number 7007.011, NIST, 2002.<\/p>\n [7] S. Checkoway, D. McCoy, B. Kantor, D. Anderson, H. Shacham, S. Savage, K. Koscher, A. Czeskis, F. Roesner, T. Kohno, et al. Comprehensive experimental analyses of automotive attack surfaces. In USENIX Security Symposium. San Francisco, 2011.<\/p>\n [8] Robert C. Seacord, The CERT C Coding Standard: 98 Rules for Developing Safe, Reliable, and Secure Systems. SEI series in software engineering Addison-Wesley, 2014, ISBN 0321984048, 9780321984043<\/p>\n [9]\u00a0https:\/\/de.mathworks.com\/products\/polyspace\/<\/a><\/p>\n [10]\u00a0https:\/\/www.elektronikpraxis.vogel.de\/embedded computing\/articles\/342436\/index2.html<\/a><\/p>\n Beitrag als PDF downloaden<\/strong><\/a><\/p>\n Wollen Sie sich auf den aktuellen Stand der Technik bringen?<\/strong><\/p>\n Dann informieren Sie sich\u00a0hier<\/strong>\u00a0<\/a>zu Schulungen\/ Seminaren\/ Trainings\/ Workshops und individuellen Coachings von MircoConsult zum Thema Modellierung \/Embedded- und Echtzeit-Softwareentwicklung.<\/p>\n Training & Coaching zu den weiteren Themen unseren Portfolios finden Sie\u00a0hier<\/a>.<\/strong><\/p>\n Wertvolles Fachwissen zum Thema Modellierung \/Embedded- und Echtzeit-Softwareentwicklung steht\u00a0hier<\/strong>\u00a0<\/a>f\u00fcr Sie zum kostenfreien Download bereit.<\/p>\n1 Einf\u00fchrung<\/h2>\n
2 Modell-basierte Threat-\/Risk-Analyse<\/h2>\n
\n
\n
3 Verifikation auf Code-Ebene<\/h2>\n
\n
4 Zusammenfassung<\/h2>\n
Literatur<\/h2>\n
\nhttps:\/\/www.businessinsider.de\/the-internet-of-things-market-growth-and-trends-2015-2?r=US&IR=T<\/a><\/p>\n
\nhttps:\/\/www.gov.uk\/government\/uploads\/attachment_data\/file\/409774\/14-1230-internet-of-things-review.pdf<\/a><\/p>\nModellierung – MicroConsult Trainings & Coachings<\/h2>\n
\nModellierung – Fachwissen<\/h2>\n